Hakkerit hyödyntävät XWikin turvallisuuspuutetta
Tuoreen raportin mukaan hakkerit hyödyntävät XWikin, verkkopohjaisen sisällöntuotantoplatformin, turvallisuuspuutetta ajaakseen ohjelmia tietokoneilla, joita he eivät omista. XWikin mallijärjestelmässä oleva bugi on mahdollistanut pahantahtoisten toimijoiden louhia Moneroa (XMR) ilman lupaa.
Hyökkäyksen toteutus
Hakkerit lähettävät pyynnön, joka lataa pienen ohjelman (x640) uhrin tietokoneelle. Myöhemmin toinen pyyntö ajaa tämän ohjelman, ja kyseinen ohjelma lataa kaksi muuta skriptiä (x521 ja x522), jotka asentavat Monero-louhintatyökalun (tcrond) ja saavat sen toimimaan sekä pysäyttävät kaikki muut louhintaprosessit tartunnan saaneessa koneessa.
Louhintaprosessin seuraukset
Louhitut Monero-tokenit lähetetään sitten c3pool.orgin kautta.
Hacker Newsin raportti, joka viittaa CISA:n tietoihin, mainitsee myös turvallisuuspuutteita DELMIA Aprisossa, jotka mahdollistavat hakkerien koodin etäkäytön samankaltaisella tavalla.
Toimenpiteet uhreille
Niiden, jotka ovat mahdollisesti joutuneet kryptojackingin, eli kryptovaluutan laittoman louhintatoiminnan, uhreiksi, tulisi:
- estää IP-osoitteet
- valvoa verkkoa yhteyksien varalta c3pool.org:iin
- poistaa louhintatyökalun kanssa liittyvät tiedostot, jos niitä löytyy olemassa olevalta tietokoneelta.
